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BESCHREIBUNG 



GEGEN UNBEFUGTE MANIPULATION GESICHERTES 
ZUGANGSBERECHTIGUNGSVERFAHREN 

Die vorliegende Erfindung betrifft die Sicherheit von 
Computersystemen und insbesondere ein gegen unbefugte 
Manipulation gesichertes Zugangsberechtigungsverf ahren zur 
Kontrolle des Zugangs von Prograrnmen , Prozessen oder 
Benutzern zu Ressourcen, die von einem Computer system 
definiert werden. 

Hierbei ist Bezug zu nehmen auf Peterson und Silberschatz , 
"Operating System Concepts", Copyright Addison-Wesley 
Publishing Co. 1983, Kapitel 11, S. 387-419, zum Thema 
Schutz, und auf Dorothy Denning, "Cryptography and Data 
Security", Copyright Addison-Wesley Publishing Co. 1982, 
Kapitel 4, S. 209-230, zum Thema Zugangskontrollen . 

Diese Referenzen beschreiben Mechanismen zur Kontrolle des 
Zugangs von Prograrnmen, Prozessen oder Benutzern zu 
Ressourcen, die von einem Computersystem definiert werden. 
Sowohl Peterson als auch Denning favorisieren offenbar eine 
entweder statisch oder dynamisch implementierte Zugangsmat rix 
als Schutzkonstrukt der Wahl in solchen Systemen. 

Das Matrixkonstrukt verwendet Reihen zur Darstellung von 
Do manen und Spalten zur Darstellung von Objekt en. Jeder 
Eintrag in der Matrix besteht aus einer Menge von 
ZuaanasrechtfiXL. Wenn ein Computer eine globale Tabelle 
enthielte, die aus einer Menge geordneter Tripel 
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<Benutzer (i) , Objekt (j)/ Rechtemenge (k)> bestunde, wiirde 
bei jeder Ausfiihrung einer Operation M an einem Objekt O(j) 
durch einen Benutzer U(i) eine S uche n a^^dem^Trig^ 
<U(i) ,0( 3 ) /R(k)> durchgefiihrt, und die Operation konnte nur 
fortgesetzt werden, wenn beim V ergleich . eine Entsprechung 
gefunden wird. 

Beide Referenzen beschreiben ferner mehrere Konstrukte, die 
von einer Zugangsmatrix abgeleitet sind. Hierzu zahlen 

Fahigkeits listen sowie SchloS-Schlxissel- 
Mech^ismen. Es ma& beriicksichtigt werden, da£ eine 
Zugangsliste listenorientiert ist, eine Fahigkeitsliste 
ticketorientiert ist und ein Schlo&-Schlussel-Mechanismus 
Merkmale von beiden vereint. 

Eine Zugang^Xi^Jt^ ist nicht mehr als eine Menge geordneter 
Paare <U(i), R(k)>, die nach den einzelnen Objekten O(j) 
sortiert sind. Eine Fahigkeit ist ein Ticket, das jedern 
Inhaber die Zugangsrechte R fur das Objekt 0 verleiht. Der 
bloSe Besitz bedeutet, dafi der Zugang erlaubt ist. 

Bei einem S chloS-Sc hliiss el-Mech anismus en thai t jedes Objekt 
0(j) ein einmaliges Bitmuster, das als "SchloS" bezeichnet 
wird, wahrend nur bes t immt e Benu t z er ^im Besitz eines 
eir ? naligen Bitmu sters^sind f das als "Schlussel" bezeichnet 
wird. Somit kann ein U(i) nur dann einen Schlussel zu 0(j) 
bekommen, wenn er Zugangsrechte R(k) einer bestimmten Art 
hat. 

Dunham et al . beschreiben in dem US-Patent 4.791.565, 
"Apparatus for Controlling the Use of Computer Software", 
erteilt am 13. Dezember 1988, das Konstrukt der 
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"Zugangskontrolliste" . In diesem Fall dienen die 
" Zugangs r echte " dazu , Lizenzbeschrank ungen zu_ uberwachen 
Dunham verwendet einen Mikroprozessor auf EPROM-Basis als 
dedizierten Server. In dieser Anordnung werden Anf orderungen 
zur Nutzung von Software, die von Terminals ausgehen und fur 
einen Host-Rechner bestimmt sind, vor der Ubertragung 
vermittelt. Jede Anforderung wird je nach den Kriterien, die 
in der Sof twarelizeriz der Benutzer genarmt sind, entweder mit 
oder ohne Kommentar weitergeleitet oder zuriickgewiesen. 

Pailen et.al: beschreiben in dem US-Patent 4.652.990, 
"Protected Software Access Control Apparatus and Method", 
erteilt am 24. Marz 1987, einen "Schlofi-Schliissel" -Ansatz zur 
Begrenzung des unerlaubten Kopierens. Bei Pailen wird mit 
Hilfe eines interaktiven Prozesses zur Erzeugung 
verschlusselter Nachrichten zwischen einem anfordernden 
abgesetzten Terminal und einem Paar Vermittlungsprozessoren 
iiberpriift, ob Benutzer, Objekt und Rechte zueinander passen, 
bevor der Zugang gewahrt wird. 

Wolfe beschreibt im US-Patent 4.796.220, "Method of 
Controlling the Copying of Software", erteilt am 3. Januar 
1989, einen weiteren Schlofi-Schliissel-Ansatz , bei dem 
Konf igurationsinf ormationen berechtigter Terminals im Rahmen 
einer Erlaubniscodeberechnung verwendet werden, die von einem 
Host an das anfordernde Terminal geschickt wird. Die 
Berechnung wird an die einzelnen Anf orderungen angehangt und 
funktioniert bei spateren Zugriffen des Terminals auf den 
Host zusammen mit den Konf igurationsdaten als Schliissel zur 
Neuberechnung des Codes. 
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Das IEEE-Papier von S. Vinter mit dem Titel "Extended 
Discretionary Access Controls" (Seite 39-49 der Proceedings 
of the 1988 IEEE Symposium on Security and Privacy, Oakland, 
California, 18.-21. April 1988, IEEE, New York, USA) 
beschreibt die Kontrolle der Zugangsberechtigung zu 
Ressourcen mit Hilfe von Zu£angskontrollis ten Ein Client 
kann auf ein Objekt zugreifen, wenn seine Identitat in einer 
Zugangskontrolliste erscheint, die mit einer Berechtigung zu 
dem angeforderten Zugang verbunden ist. 

Unter einem Aspekt stellt die' vorliegende Erf indunq ein 
Verfahren zur Kontrolle des ^Zugangs zu Computerressourcen 
bereit, die sich in einem Host-Computer eines Computer systems 
befinden, das den Host und eine Anzahl M von Arbeitsstationen 
enthalt, die zur Kommunikation mit dem Host verbunden sind, 
wobei das Verfahren folgende Schritt umfafit: 

(a) Aufrufen einer vorab berechneten Liste, wenn eine 
Arbeitsstation oder ein Benutzer den Zugang zu Ressourcen 
anfordern, wobei die Liste M Arbeitsstations- oder 
Benutzeridentitaten sowie eine verschliisselte Darstellung der 
Zahl N der Arbeitsstationen oder Benutzer enthalt, die zum 
Zugang zu den Ressourcen berechtigt sind, wobei N eine 
kleinere Zahl ist als M und die verschliisselte Darstellung 
von N mit Hilfe eines Verschliisselungsschlussels als Funktion 
der Host-Identitat und eines Versatzes gebildet wird; 

(b) Feststellen der Tiefe N, bis zu der die Liste durchsucht 
wer den kann, durch Entschltisselung der verschliisselten 
Darstellung des Parameters N mit Hilfe des 
Verschliisselungsschlussels; und 
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(c) Vergleichen der Identitat der Arbeitsstation oder des 
Benutzers, von der bzw. dem die Diensteanforderung stammt, 
mit den Identitaten der M Arbeitsstationen oder Benutzer auf 
der Liste, jedoch nur bis zu einer Tiefe N, und Genehmigen 
des Zugangs, wenn eine Identitatsentsprechung gefunden wird, 
anderenfalls hingegen Zuriickweisen der Zugangsanf orderung . 

Es wird angenommen, daS ein solches Verfahren gegen unbefugte 
Manipulationen gesichert ist. 

In einem bevorzugten Ausfuhrungsbeispiel stellt die 
vorliegende Erfindung ein gegen unbefugte Manipulationen 
gesichertes Verfahren ziir Gewahrung der Berechtigung zum 
Zugang zu Da ten oder Anwendungs software zwischen einem Host 
und einer vorbestimmten Zahl N von M angeschlossenen 
Arbeitsstationen oder Benutzern, wobei N kleiner als M ist, 
der Host-Computer einen Kommunikationsserver fiir die 
Verwaltung der physischen Dateniibertragung zwischen dem Host 
und M Arbeitsstationen oder Benutzern sowie ein Mittel zum 
Speichern der Zugangskontrollsof tware und zugehoriger 
Informationen umfa&t und das Verfahren beim Host folgende 
Schritte umfaSt: 

Aufrufen einer vorab berechneten Liste, wenn eine 
Arbeitsstation oder ein. Benutzer den Zugang zu Ressourcen 
anfordern, wobei 

(a) Aufrufen von Zugangskontrollsof tware von dem 
Speichermittel sowie einer vorab berechneten Liste, wenn eine 
Arbeitsstation oder ein Benutzer einen Dienst anfordern, 
wobei die Liste M Stations- oder Benutzeridentitaten sowie 
eine verschltisselte Darstellung von N fur die Zahl der 
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Arbeitsstationen oder Benutzer enthalt, die zum Zugang zu 
Oder zu der Verbindung mit dem Host berechtigt sind, wobei 
die verschlusselte Darstellung von N mit Hilfe eines 
Verschltisselungsschliissels als Funktion der Host-Identitat 
und eines Versatzes gebildet wird; 

(b) Feststellen der Tiefe N, bis zu der die Liste durchsucht 
werden kann ; durch Entschliisselung der Darstellung mit Hilfe 
des Schliissels; und 

(c) Vergleichen der Identitat der Arbeitsstation oder des 
Benutzers, von der bzw. dem die Diensteanf orderung stammt, 
mit den Identitaten der M Stationen oder Benutzer auf der 
Liste, jedoch nur bis zu einer Tiefe N, und Zuriickgeben einer 
Berechtigung nur dann, wenn eine Identitatsentsprechung 
gefunden wird. 

Es wird angenommen, dafi eine solche Regelung ein gegen 
unbefugte Manipulationen gesichertes Verfahren zur Kontrolle 
der Zahl der Benutzer ist, die die Berechtigung zum Zugang zu 
lizenzierter Software in einem host-basierten System mit 
mehreren Terminals haben. Der Software fur ein solches 
Verfahren kann in die Module integriert werden, die ein 
lizenziertes Sof twareprodukt bilden. 

Das obige Verfahren beruht auf der unerwarteten Verwendung 
einer verschlusselten Form eines Parameters fur die Tiefe der 
Berechtigungsliste. Wie nachstehend beschrieben wird, erfolgt 
die Berechtigung zum Zugang zu Daten zwischen einem Host und 
einer vorbestimmten Zahl N < M angeschlossener 
Arbeitsstationen oder Benutzer. Der Host umfaSt einen 
Kommunikationsserver fur die Verwaltung der physischen 
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Datemibertragung zwischen dem Host und den M Arbeitsstationen 
oder Benutzern sowie ein Mittel zum Speichern der 
Zugangskontrollsof tware und zugehoriger Inf ormationen. 

Die erste Operation erfolgt beim Host und umfaSt das Aufrufen 
der Zugangskontrollsof tware von dem Speichermittel und das 
Aufrufen einer vorab berechneten Liste. Diese Aufrufe 
erfolgen beide, wenn eine Arbeitsstation oder ein Benutzer 
einen Dienst anfordern. Die Liste umfaSt M Stations- oder 
Benutzeridentitaten und eine verschliisselte Darstellung des 
Parameters N. N < M stellt die Zahl der Arbeitsstationen dar, 
die zum Zugang zu oder zu der Verbindung mit dem Host 
berechtigt sind. 

Der Verschliisselungsschlussel ist eine Funktion der 
Hostidentitat und eines Versatzes . Unter "Versatz" ist hier 
eine Konstante zu verstehen, die arithmetisch mit der 
Hostidentitat kombiniert wird, 'urn den Schliissel zu 
verschleiern. Die Hostidentitat konnte z.B. die Seriennummer 
des Hosts sein, die in dessen Speicher hart codiert ist, oder 
eine ganze Zahl, die additiv damit kombiniert wird. 

Die zweite Operation umfa£t das Feststellen des Wertes des 
Tief enparameters N durch Entschliisseln der Darstellung mit 
Hilfe des Schlussels. Der Wert N definiert die Tiefe, bis zu 
der die Liste durchsucht werden darf. 

Die dritte Operation verlangt, daS die Identitat des 
Diensteanforderers bis zu dieser Tiefe mit den Elementen der 
Liste verglichen wird und eine Berechtigung nur dann 
zuruckgeben wird, wenn. innerhalb dieser Tiefe eine 
Entsprechung festgestellt wird. Bedeutsam ist, daS jede 
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Anderung in der Suchtiefe N deren Neuverschlusselung 
erfordert. 

Vorteilhaf terweise erfordert ein auf einem Host residentes 
lizenziertes Sof twareprodukt , von dem ein Teil in darauf 
zugreifende Terminals heruntergeladen werden kann, mit dem 
Verfahren der vorliegenden Erfindung nur einen einzigen 
Installationsschritt auSer der Regelung der Zahl der 
berechtigten Benutzer. Es erlaubt sogar die dynamische 
Berechtigung von Benutzern fur ein einzelnes Gerat, denn der 
Verschlusselungsschliissel ist eine Funktion der 
Hostidentitat . Zu beachten ist, daS die Nutzung der 
Hostidentitat den Einsatz des Codes auf ein vorbestimmtes 
System beschrankt. 

Die vorliegende Erfindung wird weiter exemplarisch unter 
Bezugnahme auf ein Ausf iihrungsbeispiel beschrieben, das in 
den beiliegenden Zeichnungen dargestellt ist, wobei gilt: 

Fig. 1 stellt ein System zum Herunterladen von der Host-CPU 
zur Arbeitsstation dar, und 

Figs. 2-5 zeigen Beispiele 1-4 fiir Zugangskontrollisten . 

In Fig. 1 sind eine CPU 1 und mehrere iiber die Bahnen 9, 11, 
13, 15 mit ihr verbundene Terminals 17, 19, 21, 23 zu sehen. 
In der folgenden Beschreibung soli davon ausgegangen werden, 
dafi der CPU-Knoten unter einem Betriebssystem lauft, das 
einen Kommunikationsserver ahnlich dem System verwendet, das 
entweder in "VM/System Product Programmer's Guide to the 
Server-Requester Programming Interface for VM/System Product" 
(S. 6-7), IBM-Publikation SC24-5291-1, Dezember 1986, oder in 
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"TSO Extensions Programmers Guide to the Server-Requester 
Programming Interface for MVS/XA" (S. 1-3), IBM-Publikation 
SC2 8-13 09-1, September. 1987, beschrieben ist. 

Andere Ressourcen von Recheneinrichtungen unterliegen den 
Betriebsgrundsatzen des IBM/3 70, wie sie im US-Patent 
3.400.371, "Data Processing System", von Amdahl et al., 
ausgestellt am 3. September 1968, beschrieben sind. 

Wie wiederum in Fig. 1 zu sehen ist, umfaSt die CPU 1 
zusatzlich zu einer gewohnlichen Erganzung der 
Betriebssystemdienste vorzugsweise mindestens eine Anwendung, 
die in einer Kommunikationsbeziehung mit mindestens einem 
Terminal uber eine Download-Schnittstelle zu einer 
Arbeitsstation ausgefiihrt werden kann, die liber einen 
bezeichneten Pfad auf sie zugreift. Es ist zu 

berucksichtigen, daS lizenzierte Sof twareprodukte in Form von 
reinem Objektcode (OCO, Object Code Only) ausgedriickt sind. 
Sie sind nach einer strukturierten Programmsyntax 
zusammengef afet , die haufig mehrere Module mit einem einzelnen 
Eingang und einem einzelnen Ausgang umfaSt <siehe J. E. 
Nicholls, "The Structure and Design of Programming 
Languages", The Systems Programming Series, Copyright 
Addison-Wesley Publishing Co. 1975, Kapitel 12 zum modularen 
Programmieren, insbes . S. 486) . Daher sind in dem bevorzugten 
Ausfiihrungsbeispiel ein Zugangskontrollprogramm (ACP, Access 
Control Program) und eine Zugangskontrolliste {ACL, Access 
Control List) unter den Produktmodulen integriert. Sowohl die 
OCO-Produktform als auch die Verteilung von ACP und APL auf 
mehrere Module durfte sie gegen eine Isolierung und zufallige 
Betrachtung relativ immun machen. 
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Zuqangskontrolliste (ACL) 

Die ACL umfaSt vorzugsweise eine Datei, die einen 
Vorspanndatensatz enthalt, gefolgt von einem Datensatz pro 
berechtigtem Benutzer. Der Vorspanndatensatz gibt die Zahl 
der berechtigten Benutzer auf der Liste an. Wenn die 
Vorspanndatensatze z.B. einen verschlusselten ganzzahligen 
Wert von drei enthalten, sind nur die ersten drei Benutzer 
auf der ACL berechtigt, die Download-Ubertragungsoperation 
aufzurufen. 

Urn einem Benutzer die Berechtigung zu erteilen , muE auf die 
Datenmenge (das Modul) zugegriffen werden, die die ACL 
enthalt und sich in der Host-CPU 1 befindet. An diesem Punkt 
kann im Einklang mit der im Vorspanndatensatz 
vorgeschriebenen Tiefe eine neue berechtigte ID eingegeben 
werden. Anzumerken ist hierzu, daS die Datenmenge zusatzlich 
geschiitzt werden *kann, wie in der RACF (Ressource Control 
Facility, Ressourcenkontrolleinrichtung) von IBM beschrieben, 
die in der IBM-Publikation SC28-0733, "OS/VS2 MVS RACF 
Command Language Reference", dargestellt ist. 

In den Figs. 2-5 sind Beispiele 1-4 fur Zugangskontrollisten 
gemafi der vorliegenden Erfindung zu sehen. In Fig, 2 sind 
vier Namen mit einer Parametertief e von N=3 aufgefiihrt. Somit 
sind nur die Terminal- oder Benutzeridentitaten GEORG, HANS 
und MARIE berechtigt, ROSA dagegen nicht . In Fig. 3 
iibers teigt die zulassige Tiefe die Lange der Liste, so da& 
eine weitere Identitat hinzugefugt werden konnte. Fig. 4 
zeigt eine Tiefe von 1, wahrend Fig. 5 eine Liste mit einer 
anderen CPUID zeigt. Im letzten Fall wurde der 
Tiefenparameter nicht entschlusselt , da der Schlvissel eine 
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Funktion einer vorbestimmten CPUID zuziiglich eines Versatzes 
ist . 

In der Praxis stiitzen sich die Berechtigungs- und 
Zugangsmechanismen unabhangig davon, ob die Host -CPU sich in 
einem lokalen Netz befindet oder eine VM mit angeschlossenen 
Terminals ist, vorwiegend auf einen PaSwortvergleich. Bei 
einer falschen PaSworteingabe oder bei wiederholt falscher 
PaSworteingabe wird einfach der Zugang verweigert. In anderen 
Systemen, wie z.B. in der bereits erwahnten RACF, konnen 
andere Kriterien fur die Kontrolle des Zugangs zum System 
verwendet werden, wie z.B. der Standort oder ein Wert eines 
Systemtakts. 

Zugangskontrollproaramm (ACP) 

Es wird hier eine exemplarische Pseudocodesequenz mit starken 
PASCAL-Untertonen gezeigt, deren Ausflihrung das Veirfahren der 
Erfindung beinhaltet. Bezeichnenderweise kann das ACP durch 

ACP(userid; char, encrypt: bool) boolean 

die Deklaration des ACP-Programms , entweder einmal pro 
angemeldeter Sitzung oder mehrmals aufgerufen werden (d.h. 
jedesmal, wenn eine Datenubertragung durchgefiihrt werden 
soil) , wobei die Eingaben wie folgt definiert sind: 
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userid _ e ine Zeichenkette, die angibt, welche userid 
(Benutzerkennung) in der Zugangskontrolliste. 
(ACL) gesucht werden soli 

encrypt _ boolesche Variable (TRUE/WAHR, wenn der ACL- 
Vorspann verschliisselt ist, und FALSE / FALSCH , 
wenn der ACL-Vorspann entschliisselt ist 

ACL - Zugangskontrolliste (Access Control List) 

Die Sequenz legt folgende Funktionen fest: 

(a) Offnen der Datei, die die ACL enthalt. 

Begin 

. Reset (ACL) 

(b) Lesen des Vorspanndatensatzes und Decodieren der 
Tiefenebene N 

Read (ACL, header); 

If (encrypt) then begin 

max_depth = decrypt (header, get_cpu_id) 

End; 

Irnplernentiert wird dies durch Entschliisseln des 
Vorspanns mit einem Schiissel, der nach irgendeinem 
bekannten Ver- und Entschlusselungsalgorithmus aus der 
CPUID plus Versa tz gebildet wird. Solche Algorithmen 
finden sich in Ehrsam et al . , US-Patent 4.227.253, 
"Cryptographic Communication Security for Multiple 
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Domain Networks", erteilt am 7. Oktober 1980; Matyas et 
al., US-Patent 4.218.738, "Method for Authenticating the 
Identity of a User of an Information System", erteilt am 
IS, August 1980; sowie Meyer und Matyas, "Cryptography - 
New Dimension in Computer Data Security 11 , Copyright John 
Wiley & Sons 1982. 



Else begin 

max_depth = header 

End; 

Die Tiefenzahl im Vorspann ist klar. 

(c) Durchsuchen der ACL nach einer Entsprechung zwischen der 
ID des Anforderers und der Liste innerhalb des 
verschliisselten Tief enbereichs N. 

i = 0; 

Not_found = TRUE; 

While (i < max_depth) and (not_found) do begin 
Readin (ACL__userid) 

IF (ACL_userid = userid) then begin 
no t_ found = FALSE; 

End; 

i = i + 1; 

End; 

Return (not_found) ; 

End; 

(d) Wenn eine Entsprechung gefunden wird (d.h. wenn der 
zuriickgegebene Wert (not_found) = FALSE ist), Aufrufen 
der Anwendung, fiir die die Berechtigung besteht, auf dem 
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Host. Anderenf alls (d.h. wenn der zurtickgegebene Wert 
(not_found). = TRUE ist) , Zuriickgeben einer Nachricht an 
die anfordernde Arbeitsstation, da& keine Berechtigung 
besteht. 

Wie der genannten Sequenz zu entnehmen sein diirfte, sind die 
zwei kritischen Strukturen der Bedingungsbef ehl 
IF. .THEN. .ELSE zur Feststellung des Tiefenparameters, gefolgt 
von der Schleife WHILE. .DO zum Durchsuchen der ACL nach einer 
Entsprechung . 
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ANS PRUCHE 

1. Ein Verfahren zur Kontrolle des Zugangs zu 

Computerressourcen, die sich in einem Host -Computer 
eines Computersys terns befinden, das den Host und eine 
Anzahl M von Arbeitsstationen enthalt, die zur 
Kommunikation mit dem Host verbunden sind, wobei das 
Verfahren folgende Schritt umfaSt: 

(a) Aufrufen einer vorab berechneten Liste, wenn eine 
Arbeitsstation oder ein Benutzer den Zugang zu 
Ressourcen anfordern, wobei die Liste M 
Arbeitsstations- oder Benutzeridentitaten sowie 
eine verschlusselte Darstellung der Zahl N der 
Arbeitsstationen oder Benutzer enthalt, die zum 
Zugang zu den Ressourcen berechtigt sind, wobei N 
eine kleinere Zahl ist als M und die verschlusselte 
Darstellung von N mit Hilfe eines 

Verschliisselungsschliissels als Funktion der Host- 
Identitat und eines Versatzes gebildet wird; 

(b) Feststellen der Tiefe N, bis zu der die Liste 
durchsucht werden kann, durch Entschliisselung der 
verschltisselten Darstellung des Parameters N mit 
Hilfe des Verschliisselungsschliissels; und 

(c) Vergleichen der Identitat der Arbeitsstation oder 
des Benutzers, von der bzw. dem die 
Diensteanforderung stammt, mit den Identitaten der 
M Arbeitsstationen oder Benutzer auf der Liste, 
jedoch nur bis zu einer Tiefe N, und Genehmigen des 
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Zugangs, werm eine Identitatsentsprechung gefunden 
wird, anderenfalls hingegen Zuriickweisen der 
Zugangsanf orderung . 

2 . Ein Verf ahren nach Anspruch 1 zur Kontrolle der 
Zugangsberechtigung fur Anwendungsprogramme , wobei der 
Zugang zu einem Anwendungsprogramm das Aufrufen des 
Anwendungsprogramms umfaSt und bei der Zuriickweisung 
einer Zugangsanf orderung eine Zuriickweisungsnachricht an 
die anfordernde Arbeitsstation oder den anfordernden 
Benutzer geschickt wird. 

3. Ein Verf ahren nach Anspruch 2, bei dem der Schritt des 
Aufrufens der Liste das Aufrufen von 

Zugangskontrollsof tware umfaSt, wobei die Liste und die 
Zugangskontrollsof tware in das Anwendungsprogramm 
integriert sind. 

4. Ein Verf ahren nach einem der obigen Anspriiche, bei dem 
die Anordnung des Hosts, der die Arbeitss tationen oder 
Benutzer kommunikativ verbindet, aus einer Menge 
ausgewahlt wird, die aus einem lokalen Netz und einem 
Mehrprogramm-Mehrprozessor-System wie z.B. VM besteht. 

5. Ein Verf ahren nach einem der obigen Anspriiche, bei dem 
die Schritte des Verfahrens ferner das Modif izieren der 
Suchtiefe N allein durch deren Neuverschliisselung * 
umfassen. 
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Fig. 1 



SA 988 037 



690 28 226.5 



2/2 

i — ACL-l 

- VERSCHLUSSELTER WERT 3 MIT AUSGANGSPUNKT=CPUID 
GEORG r BENUTZER 1, Z.B.-W1 IN FIGUR 17 
HANS /* BENUTZER 2, Z.B. W2 IN FIGUR 1 7 
MARIE /* BENUTZER 3, Z.B. W3 IN FIGUR 1 7 
ROSA r BENUTZER 4, Z.B. W4 IN FIGUR 1 7 



ZUGANGSKONTROLLISTE, BEISPIEL 1 

Fig. 2 



p. ACL-2 

- VERSCHLUSSELTER WERT 5 MIT AUSGANGSPUNKT=CPUID - 
GEORG r BENUTZER 1 , Z.B. Wl IN FIGUR 1 7 
HANS r BENUTZER 2, Z.B. W2 IN FIGUR 1 7 
MARIE r BENUTZER 3, Z.B. W3 IN FIGUR 1 7 
ROSA /* BENUTZER 4, Z.B. W4 IN FIGUR 1 7 
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Fig. 3 



ACL-3 

1 

GEORG /* BENUTZER 1, Z.B. Wl IN FIGUR 1 7 
HANS /* BENUTZER 2, Z.B. W2 IN FIGUR 1 */ 
MARIE /* BENUTZER 3, Z.B. W3 IN FIGUR 1 */ 
ROSA /* BENUTZER 4, Z.B. W4 IN FIGUR I V 



ZUGANGSKONTROLLISTE, BEISPIEL 3 

Fig. 4 



— ACL-4 : : — : 

- VERSCHLUSSELTER WERT 3 MIT AUSGANGSPUNKT=ANDERE CPUID ALS HOST-CPUID - 
GEORG r BENUTZER 1, Z.B. Wl IN FIGUR 1 */ 
HANS r BENUTZER 2, Z.B. W2 IN FIGUR 1 V 
MARIE /* BENUTZER 3, Z.B. W3 IN FIGUR 1 V 
ROSA /* BENUTZER 4, Z.B. W4 IN FIGUR 1 V 



ZUGANGSKONTROLLISTE, BEISPIEL 4 



Fig. 5 



